Broker zabezpieczeń dostępu do chmury (CASB) to lokalne lub działające w chmurze oprogramowanie, które jest łącznikiem pomiędzy użytkownikami a aplikacjami internetowymi. CASB wymusza zasady zabezpieczeń, zmniejsza zagrożenie ze strony złośliwego oprogramowania i monitoruje działania użytkowników, które mogą mieć wpływ na bezpieczeństwo Twojej domeny.
Ważne: konfiguracja CASB innej firmy nie jest wymagana w przypadku Google Workspace. Jeśli jednak zdecydujesz się na skonfigurowanie brokera, zalecamy zapoznanie się z poniższymi wskazówkami i instrukcjami rozwiązywania problemów.
Wskazówki dotyczące CASB
Użyj CASB w trybie offline w stosownych przypadkachJeśli to możliwe, nie używaj wbudowanego/aktywnego brokera CASB w przypadku ruchu sieciowego między użytkownikami a Google (nie używaj proxy / filtra sieciowego). Możesz skorzystać z innych sposobów, które umożliwią osiągnięcie Twoich celów – np. interfejsów API lub dodatków w Gmailu takich jak CASB w trybie offline. Zespół pomocy Google nie może zapewnić wsparcia w rozwiązywaniu potencjalnych problemów z Google Workspace związanych z wbudowanymi/aktywnymi rozwiązaniami CASB.
Zamiast tego zalecamy następujące opcje oferowane przez Google Workspace:
Jeśli musisz użyć CASB, upewnij się, że możesz przetestować konfigurację, omijając lub wyłączając CASB dla określonego urządzenia lub użytkownika. Jest to ważne, ponieważ dostawcy/konfiguracja CASB często powodują problemy z połączeniem z usługami Google. Nie są to problemy po stronie Google.
Oto kilka typowych sposobów testowania, czy problem z Google Workspace jest spowodowany przez CASB:
- (Zalecane) Użyj do połączenia innego urządzenia, na którym ruch sieciowy nie jest kierowany przez CASB i które nie jest objęte żadną polityką firmy wymagającą instalacji lokalnych filtrów sieciowych lub rozszerzeń przeglądarki. Na przykład otwórz usługę Google na urządzeniu osobistym lub podłącz urządzenie, którego dotyczy problem, do sieci komórkowej (tethering) zamiast do sieci firmowej.
- Skonfiguruj brokera CASB tak, aby przekazywał ruch z urządzenia, którego dotyczy problem. Ta opcja jest często trudniejsza do skonfigurowania.
- Jeśli zasady Twojej organizacji nie pozwalają na bezpośrednie połączenie z kontem Google Workspace, użyj osobnego środowiska testowego Google Workspace.
Jeśli musisz zablokować ruch Google, nie zalecamy modyfikowania ładunku / treści odpowiedzi – na przykład przez wprowadzenie własnego kodu JavaScript. Zamiast tego upewnij się, że Twój broker CASB / proxy zastępuje tę odpowiedź odpowiedzią 500. W idealnym przypadku odpowiedź 500 powinna mieć unikalny nagłówek wskazujący na to, że pochodzi z CASB. Jeśli zmodyfikujesz treść odpowiedzi, Google nie będzie w stanie zagwarantować pomocy w przypadku potencjalnych problemów.
Google nie może zagwarantować pomocy w przypadku problemów związanych z blokowaniem lub modyfikowaniem ruchu sieciowego między przeglądarką (lub klientem interfejsu API) a Google ani problemów będących efektem ubocznym wprowadzonych zmian. Google zapewnia interfejsy API do integracji, ale nie może obsługiwać interakcji utworzonych w inny sposób (na przykład przez wprowadzenie kodu CSS lub innego). Jest to spowodowane tym, że Google nie ma wglądu w konfigurację ani kod systemów innych firm i nie może udzielić gwarancji dotyczących niepublicznych interfejsów.
Zespół pomocy Google Workspace nie może też zapewnić pomocy w debugowaniu kodu innej firmy, zwłaszcza jeśli kod nie korzysta z oficjalnych interfejsów API lub innych interfejsów Google. Na przykład możesz użyć dodatku w Gmailu, aby dodać przycisk do interfejsu Gmaila – w przypadku takiego działania Google może zapewnić pomoc. Jednak dodanie przycisku do interfejsu Gmaila przez wstawienie własnego kodu JavaScript – zarówno za pomocą rozszerzenia do Chrome jak i proxy typu „man in the middle” – nie jest wspierane.
Rozwiązywanie problemów
Zidentyfikuj problemy związane z CASB / filtrami sieciowymiPoniżej znajduje się lista niektórych skutków ubocznych i objawów problemów sieciowych związanych z CASB / filtrami sieciowymi. To nie jest pełna lista problemów, więc mogą wystąpić także inne objawy.
- Interfejs się nie ładuje lub wyświetla się pusta strona.
- Użytkownicy są przekierowywani na stronę pomocy Google z instrukcjami, jak wyczyścić pamięć podręczną. Przekierowanie utrzymuje się nawet po wyczyszczeniu pamięci podręcznej.
- Aplikacja się ładuje, ale niektóre funkcje są wyłączone – na przykład użytkownicy nie mogą tworzyć wiadomości e-mail lub opcje edytora Dokumentów/Arkuszy/Prezentacji są wyłączone bądź wyszarzone.
- Błędy występują w wielu niepowiązanych usługach Google Workspace (na przykład w Gmailu i na Dysku) pomimo braku zgłoszenia przerwy w działaniu usługi w panelu stanu Google Workspace.
- Porównaj odciski cyfrowe certyfikatów HTTPS z prawdziwymi certyfikatami Google. Możesz na przykład użyć testu serwera SSL, aby porównać odcisk cyfrowy certyfikatu, który widzisz w przeglądarce, z odciskiem wyświetlonym dla tej samej nazwy hosta (na przykład docs.google.com).
- Jeśli certyfikaty są różne, wskazuje to na wbudowany/aktywny broker CASB. Spróbuj odtworzyć problem przy bezpośrednim połączeniu z Google – na przykład na oddzielnym urządzeniu połączonym przez sieć komórkową, jak opisano powyżej – i upewnij się, że nie ma żadnych działających lokalnie agentów przechwytujących ruch sieciowy.
- Jeśli certyfikaty są takie same, może to oznaczać, że nie ma wbudowanego brokera CASB. Spróbuj odtworzyć problem w trybie incognito w Chrome, upewniając się, że w tym trybie nie działają żadne rozszerzenia do Chrome. Wyeliminuje to problemy związane z lokalnie działającymi agentami zainstalowanymi jako rozszerzenia do Chrome.
Jeśli masz problemy z CASB / połączeniem sieciowym i wiesz, że ruch sieciowy jest modyfikowany przez CASB/proxy (co zostało sprawdzone zgodnie z opisem w sekcjach powyżej), wykonaj następujące czynności:
- Skontaktuj się z administratorem sieci.
- Sprawdź, czy problem występuje na niepowiązanym urządzeniu lub innych kontach (zobacz powyżej: Upewnij się, że masz możliwość wyłączenia CASB na potrzeby testów). Google nie może zagwarantować, że połączenia, które zostały przerwane lub zmodyfikowane – bądź strony zmodyfikowane przez rozszerzenie – będą działały tak, jak powinny. Skontaktuj się z dostawcą CASB.
- Jeśli nadal uważasz, że problem leży po stronie Google, przekaż zespołowi pomocy Google następujące informacje:
- szczegóły, które udało się ustalić na podstawie tego artykułu, sekcje: Zidentyfikuj problemy związane z CASB / filtrami sieciowymi i Sprawdź, czy Twój ruch sieciowy lub sesja przeglądania są modyfikowane przez CASB/proxy;
- wszelkie inne objawy lub nieoczekiwane problemy występujące w witrynach Google lub innych witrynach;
- wszelkie inne schematy, które zauważysz (na przykład związane z określonymi użytkownikami, grupami użytkowników, regionami geograficznymi, grupowaniem topologii sieci lub konkretnymi stronami);
- plik HAR zapisany podczas odtwarzania problemu w trybie incognito z wyłączonymi wszystkimi rozszerzeniami (dowiedz się, jak zapisać plik HAR);
- zrzuty ekranu lub nagrania wideo przedstawiające napotkane błędy.